等保评级是什么？为什么要进行等保评级？

等保评级是什么？为什么要进行等保评级？

这是一个很好的问题，也是许多人关心的话题。等保评级，全称是信息安全等级保护评级，是指对国家重要信息、法人和其他组织及公民的专有信息以及信息和存储、传输、处理这些信息的信息系统分等级实行安全保护的制度。等保评级的目的是为了有效防范和管理各种信息技术风险，提升国家层面的安全水平，保障网络生态环境健康发展。

为了让大家更好地理解等保评级，本文将从以下几个方面进行介绍：

等保评级的背景和发展历程

等保评级作为国家信息安全的基本制度，其源头可以追溯到1994年2月18日《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令），这是我国第一部涉及信息安全的法规。随着互联网技术的快速发展，我国在2007年6月22日出台了《信息安全等级保护管理办法》（公通字［2007］43号），正式建立了网络安全等级保护制度。这一制度被称为等保1.0，主要针对传统的计算机信息系统进行安全分级、建设、测评和监督。

然而，等保1.0随着时间的推移，已经无法有效地应对新技术带来的信息安全风险，特别是云计算、大数据、物联网、移动互联以及人工智能等新技术不断涌现，计算机信息系统的概念已经不能涵盖全部，而且网络安全威胁也日益增多和复杂。为了满足新的技术挑战，我国在2017年6月1日正式实施了《中华人民共和国网络安全法》，将网络安全等级保护制度写入法律，并要求“网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”。在此基础上，我国在2019年5月13日发布了《信息安全技术网络安全等级保护基本要求》，构建了以可信计算技术为基础的等级保护核心技术体系，并针对云计算、大数据、工业控制系统和移动互联技术等不同领域的安全保护需求提出了安全扩展要求。这一制度被称为等保2.0，是对等保1.0的升级和完善。

等保评级的对象和标准

等保评级的对象是指需要进行安全分级和测评的信息系统或者相关技术平台。根据《网络安全等级保护定级指南》，作为定级对象的信息系统应具有如下基本特征：

具有确定的主要安全责任主体；

承载相对独立的业务应用；

包含相互关联的多个资源。

注：主要安全责任主体包括但不限于企业、机关和事业单位等法人，以及不具备法人资格的社会团体等其他组织。

注：避免将某个单一的系统组件，如服务器、终端或网络设备作为定级对象。

注：在确定定级对象时，云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统在满足以上基本特征的基础上，还需满足以下要求：

云计算平台/系统应作为一个整体对象定级，云计算平台/系统中的各个资源不单独定级；

物联网应作为一个整体对象定级，主要包括感知层、网络传输层和处理应用层要素；

工业控制系统应作为一个整体对象定级，主要包括生产管理层、现场设备层、现场控制层和过程监控层要素；

采用移动互联技术的系统应作为一个整体对象定级，移动终端、移动应用和无线网络等要素不单独定级。

等保评级的标准是指根据信息系统的安全重要性和受到破坏后的危害程度，将信息系统划分为五个安全保护等级，分别是第一级（自主保护级）、第二级（指导保护级）、第三级（监督保护级）、第四级（强制保护级）和第五级（专控保护级），一至五级等级逐级增高。其中，第一级信息系统受到破坏后，对国家安全、社会秩序和公共利益造成的损害程度最低；第五级信息系统受到破坏后，对国家安全、社会秩序和公共利益造成的损害程度最高。

根据《网络安全等级保护基本要求》，每个安全保护等级都有相应的通用要求和扩展要求。通用要求包括安全通用要求和安全管理要求。安全通用要求是指适用于所有等级保护对象的安全技术要求，包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面。安全管理要求是指适用于所有等级保护对象的安全管理制度和流程要求，包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面。扩展要求是指针对云计算、大数据、物联网、工业控制系统和移动互联技术等不同领域的特殊性和差异性提出的补充性或调整性的安全技术要求。

等保评级的流程和要求

等保评级的流程主要包括以下几个步骤：

初步定级：信息系统运营使用单位按照《网络安全等级保护定级指南》，初步确定定级对象的安全保护等级，并起草《网络安全等级保护定级报告》；

专家评审：对初步确定为第三级及以上的定级对象，其运营使用单位应当组织相关专家进行评审，并形成《网络安全等级保护专家评审意见》；

主管部门审批：对初步确定为第四级及以上的定级对象，其运营使用单位应当报送相关主管部门进行审批，并形成《网络安全等级保护

审批意见》；

定级备案：对初步确定为第三级及以上的定级对象，其运营使用单位应当将定级结果报送相关主管部门进行备案，并形成《网络安全等级保护定级备案表》；

定级公示：对初步确定为第四级及以上的定级对象，其运营使用单位应当将定级结果在相关媒体上进行公示，并形成《网络安全等级保护定级公示材料》。

等保评级的要求主要包括以下几个方面：

定期复核：信息系统运营使用单位应当根据信息系统的安全重要性和变化情况，定期对信息系统的安全保护等级进行复核，并形成《网络安全等级保护复核报告》；

变更申请：信息系统运营使用单位在信息系统发生重大变更或者受到严重安全事件影响时，应当及时对信息系统的安全保护等级进行调整，并报送相关主管部门进行审批或备案，并形成《网络安全等级保护变更申请表》；

安全测评：信息系统运营使用单位应当按照《网络安全等级保护测评指南》，委托具有相应资质的测评机构对信息系统的安全保护能力进行测评，并形成《网络安全等级保护测评报告》；

安全监督：相关主管部门应当根据《网络安全等级保护监督管理办法》，对信息系统的安全保护情况进行监督检查，并形成《网络安全等级保护监督检查报告》。

等保评级的意义和价值

等保评级是一项重要的国家战略，其意义和价值主要体现在以下几个方面：

提高信息系统的安全性和可靠性：通过等保评级，可以使信息系统按照不同的风险水平采取相应的安全措施，有效地防止和抵御各种网络攻击和威胁，确保信息系统的正常运行和数据的完整性、可用性和机密性；

促进信息化建设和发展：通过等保评级，可以规范和指导信息系统的设计、建设、运维和管理，提高信息系统的质量和效率，支撑各行各业的数字化转型和创新发展；

保障国家安全和社会稳定：通过等保评级，可以有效地维护国家重要信息、法人和其他组织及公民的专有信息以及相关利益，防止信息泄露、篡改、破坏或滥用，维护国家主权、领土完整、政治安全、经济发展、社会秩序和公共利益。

总之，等保评级是一项涉及国计民生、关乎国家未来的重大工程，也是一项需要广泛参与、持续推进、不断完善的长期任务。希望本文能够帮助大家了解等保评级的基本概念、内容和流程，也欢迎大家积极参与到等保评级的实践中来，为构建一个更加安全、开放、共享的网络空间贡献自己的力量。谢谢！

本文地址：https://www.idcbest.com/recordnews/11009276.html